Почему недостаточно имен пользователей и паролей

Почему недостаточно имен пользователей и паролей

Лидеры безопасности наконец осознают, насколько серьезными являются проблемы аутентификации.

За последние несколько лет стало очевидным, что злоумышленники больше не «взламывают» учетные данные пользователей — они просто входят в систему, используя слабые, украденные или иным образом скомпрометированные учетные данные. Вот почему обнаружение в этом месяце огромного хранилища из 773 миллионов адресов электронной почты и более 21 миллиона паролей, плавающих в Dark Web, не является неожиданностью для многих экспертов по безопасности. Это просто еще одно доказательство того, что идентификация стала новым периметром безопасности и полем битвы для проведения кибератак от имени законных пользователей.

Как правило, хакеры ищут путь наименьшего сопротивления и выбирают самое слабое звено в цепи киберзащиты — людей . Следовательно, большинство современных взломов данных сопровождаются кампаниями по сбору учетных данных, за которыми следуют атаки по х использованию. Оказавшись внутри, хакеры могут перемещаться в боковом направлении по сети, охотясь за привилегированными учетными записями и учетными данными, которые помогают им получить доступ к наиболее важной инфраструктуре организации и конфиденциальным данным.

По оценкам Forrester Research, несмотря на постоянно увеличивающиеся бюджеты кибербезопасности, 80 процентов нарушений безопасности связаны со злоупотреблением привилегированным доступом, а 66% компаний были взломаны в среднем пять или более раз. В результате организациям приходится выходить за рамки имен пользователей и паролей, когда речь идет об аутентификации сотрудников для защиты учетных записей и безопасного доступа к ценным данным и критическим системам.

Состояние многофакторной аутентификации

Вместо того чтобы полагаться исключительно на имена пользователей и пароли, специалистам по безопасности следует рассмотреть возможность добавления дополнительного уровня безопасности для своих элементов управления доступом путем реализации многофакторной аутентификации (MFA). На самом деле, похоже, что лидеры безопасности наконец-то осознают, насколько велики проблемы с компромиссами в учетных данных, и работают над уменьшением рисков с помощью более строгих форм аутентификации. Недавнее исследование, проведенное Javelin Strategy & Research, показало, что зависимость от паролей за последний год снизилась с 56 до 47 процентов, поскольку организации расширили применение традиционной MFA и строгой аутентификации.

Когда дело доходит до методов МФА, организации имеют богатый выбор, но вместе с тем они должны понимать, что не существует единого подхода. Вместо этого им следует выбирать альтернативы, которые лучше всего соответствуют их сценариям использования и обеспечивают пользователям минимальное удобство для обеспечения широкого принятия. Наиболее распространенные варианты MFA включают в себя:

  • Вопросы безопасности. Один или несколько вопросов безопасности можно использовать как простейшую форму аутентификации, используя то, что знает пользователь.
  • Одноразовые парольные коды — одноразовые парольные коды, доставляемые по электронной почте или в виде SMS-сообщения, могут использоваться в качестве второго фактора для целей аутентификации. Тем не менее, было неоднократно задокументировано, что токены одноразовых паролей (OTP), передаваемые через SMS, уязвимы для перехвата (например, мошенничество с SIM-картой или портирование мобильного номера). Вот почему Национальный институт стандартов и технологий (NIST) в своем руководстве 800-63 рекомендует ограничить использование SMS для OTP и рекомендует полностью исключить передачу OTP по электронной почте. Недостатки, которые представляет OTP, были также проиллюстрированы прошлогодним взломом Reddit .
  • OATH токены -mAn OATH токен — это безопасный одноразовый пароль, который можно использовать для двухфакторной аутентификации. Токен OATH отправляется на устройство в виде одноразового пароля для повышения безопасности аутентификации.
  • Телефонный звонок с проверкой PIN-кода. Телефонный звонок с проверкой PIN-кода можно использовать с любым номером телефона, доступным из корпоративного каталога, мобильного, офисного или домашнего телефона. Пользователь просто должен подтвердить PIN-код, как только он ответит на звонок.
  • Мобильные push-уведомления. Мобильные push-уведомления в мобильном приложении аутентификации для устройств iOS и Android позволяют выполнить простое сканирование после разблокировки смартфона для проверки подлинности.
  • Ключи безопасности FIDO U2F — Ключи безопасности FIDO U2F представляют собой очень простой в развертывании вариант, который также обеспечивает высочайшую гарантию безопасности в сочетании с паролем пользователя.
  • Смарт-карты. Смарт-карты также можно использовать для проверки подлинности и обеспечения высочайшего уровня гарантии после проверки и проверки в соответствии с корпоративным каталогом организации.

Отраслевые и нормативные стандарты, такие как PCI DSS, NIST 800-63, PSD2 и GDPR, требуют мер безопасности, которые обеспечивают более высокий уровень гарантии, таких как аутентификация, основанная на доказательстве владения криптографическим ключом с использованием криптографического протокола. Тем не менее, организации все еще полагаются на гораздо менее безопасные методы аутентификации. Согласно Javelin Strategy & Research, SMS OTP и вопросы безопасности остаются доминирующими методами на предприятиях, несмотря на их задокументированные уязвимости; только 5 процентов организаций используют криптографические ключи.

Преимущества, обеспечиваемые методами проверки подлинности уровня 3, были продемонстрированы Google. По данным компании, более 85 000 ее сотрудников не пострадали от значительной фишинг-атаки с тех пор, как было внедрено использование аппаратных криптографических аутентификаторов.

При принятии многофакторной аутентификации организации должны отказаться от развертывания OTP в пользу других методов, описанных выше. Кроме того, настоятельно рекомендуется использовать проверку подлинности на основе рисков, ограничивая вызовы проверки подлинности только наиболее рискованными событиями, избегая при этом ненужной нагрузки для законных пользователей.

Поскольку многофакторная проверка подлинности требует нескольких элементов для проверки личности (что-то, что вы знаете, что-то, что у вас есть, и что-то, чем вы являетесь), это один из лучших способов предотвратить несанкционированный доступ пользователей к конфиденциальным данным и их боковое перемещение внутри сети. Это должно быть стандартной практикой для всех организаций. Очевидно, что впереди еще много работы.

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только